米国公的データラボ米国の公的データを日本語で
JA
日本語 English
CISA KEV / NVD

悪用が確認された脆弱性を、速報で

米国CISAの「悪用確認済み脆弱性(KEV)」と NVD(NVD)の高深刻度CVEから、重大な脆弱性を出典つきで整理します。本サイトは米国政府公式ではありません。

セキュリティ系:本ページは公開情報の一般的な整理であり、助言・保証ではありません。対応の可否・優先度はベンダー公式情報と自組織の状況でご判断ください。

収集データを全件ブラウズ(一覧・絞り込み・検索)→

ピックアップ

ピックアップ

深刻度・悪用状況の高い脆弱性を、要点・FAQ・出典つきで解説。

緊急 Critical ランサム悪用 CVE-2026-35273 2026/06/12

Oracle PeopleSoft(PeopleTools)に認証欠落の脆弱性(CVE-2026-35273)— 認証なしで乗っ取り・ランサムウェア悪用確認

企業の人事・財務などを支えるERP「Oracle PeopleSoft」の基盤「PeopleTools」に、重要機能の認証欠落(CWE-306)の脆弱性。遠隔・認証なしの攻撃者がPeopleToolsの乗っ取りを達成しうる。CISAは悪用確認済み(KEV)として掲載し、ランサムウェアでの悪用も確認(NVD公式CVSS 9.8 Critical)。

  • Oracle PeopleSoft の基盤 PeopleTools に重要機能の認証欠落(CWE-306)
  • 遠隔・認証なしの攻撃者が PeopleTools の乗っ取りを達成しうる
  • CISA KEV掲載=悪用確認。さらにランサムウェアでの悪用も確認
詳しく読む
緊急 Critical ランサム悪用 CVE-2026-48027 2026/05/27

Nx Console拡張にマルウェア混入(CVE-2026-48027)— 開発者の認証情報を盗むサプライチェーン攻撃

人気のNxビルドシステム用IDE拡張「Nx Console」に悪意あるバージョンが公開され、難読化ペイロードを取得してディスク・メモリ上の認証情報(トークンや鍵)を収集。CISAは悪用確認済み(KEV)・ランサムウェアでの悪用ありとして掲載した(CVSS 9.8 Critical)。

  • Nx Console(Nxビルドシステム用のIDE拡張)の改ざん版が配布され、難読化ペイロードを取得・実行
  • ディスク・メモリ上の認証情報(GitHub/npmトークン、SSH鍵、クラウド資格情報など)を窃取
  • CISA KEV掲載=実際の悪用を確認。ランサムウェアでの悪用も確認(CVSS 9.8 Critical)
詳しく読む
緊急 Critical ランサム悪用 CVE-2026-45321 2026/05/27

TanStackのnpmパッケージに不正バージョン(CVE-2026-45321)— 信頼された名義で認証情報窃取マルウェアを公開

広く使われるTanStack(React向けライブラリ群)について、悪意あるバージョンがnpmレジストリに公開され、信頼された配布元の名義で認証情報を盗むマルウェアが配られた。CISAは悪用確認済み(KEV)・ランサムウェアでの悪用ありとして掲載(CVSS 9.6 Critical)。

  • TanStack(React向け人気ライブラリ群)の悪意あるバージョンがnpmに公開
  • 信頼された配布元(メンテナ名義)を悪用して認証情報窃取マルウェアを配布
  • CISA KEV掲載=実際の悪用を確認。ランサムウェアでの悪用も確認(CVSS 9.6 Critical)
詳しく読む
緊急 Critical CVE-2026-10520 2026/06/11

Ivanti Sentry にOSコマンドインジェクション(CVE-2026-10520)— 認証なしでroot権限の遠隔操作

モバイル端末管理ゲートウェイ「Ivanti Sentry」(旧MobileIron Sentry)にOSコマンドインジェクションの脆弱性。遠隔・認証なしの攻撃者がroot権限で任意コードを実行しうる。CISAは悪用確認済み(KEV)として掲載(NVD公式CVSS 10.0 Critical)。

  • Ivanti Sentry(旧MobileIron Sentry/モバイル管理ゲートウェイ)のOSコマンドインジェクション(CWE-78)
  • 管理外の状態で、遠隔・認証なしの攻撃者がroot権限でリモートコード実行しうる
  • CISA KEV掲載=悪用確認。NVD公式CVSSは最高値の10.0 Critical
詳しく読む
高 High CVE-2026-11645 2026/06/09

Google Chromium V8に境界外読み書きの脆弱性(CVE-2026-11645)— 細工HTMLでコード実行、Chrome/Edge等に影響

GoogleのJavaScriptエンジン「Chromium V8」に境界外(out-of-bounds)の読み書きの脆弱性。攻撃者が細工したHTMLページを通じて、サンドボックス内で任意コードを実行しうる。Chromiumを使う複数のブラウザ(Chrome・Edge・Opera等)に影響する。CISAは悪用確認済み(KEV)として掲載(CVSS 8.8 High)。

  • Chromiumの中核JavaScriptエンジン「V8」の境界外読み書き(CWE-787/CWE-125)
  • 細工したHTMLページでサンドボックス内の任意コード実行につながりうる
  • Chrome・Edge・Opera等、Chromiumを使う複数ブラウザに影響(共通基盤ゆえ波及)
詳しく読む
中 Medium CVE-2026-7473 2026/06/09

Arista EOSにトンネル復号の不備(CVE-2026-7473)— 想定外パケットを誤って転送

ネットワークスイッチのOS「Arista EOS」に、トンネル復号(デカプセル化)時の比較不備。設定した復号用IP宛ての想定外のトンネルパケットを、スイッチが誤って復号・転送しうる。CISAは悪用確認済み(KEV)として掲載(NVD公式CVSS 5.8 Medium)。

  • Arista EOS(ネットワークスイッチのOS)のトンネル復号時の不完全な比較(CWE-1023)
  • 設定した復号用IP宛ての想定外トンネルパケットを、誤って復号・転送しうる
  • ネットワーク分離(セグメンテーション)の回避・アクセス制御のすり抜けに悪用されうる
詳しく読む
高 High CVE-2026-20245 2026/06/09

Cisco Catalyst SD-WAN Managerに任意コマンド実行(CVE-2026-20245)— 細工ファイルでroot実行

Cisco Catalyst SD-WAN Manager(旧SD-WAN vManage)の出力エスケープ不備により、認証済みのローカル攻撃者が細工したファイルでroot権限の任意コマンドを実行しうる。CISAは悪用確認済み(KEV)として掲載(NVD公式CVSS 7.8 High)。

  • Cisco Catalyst SD-WAN Manager(旧vManage)の出力エスケープ不備(CWE-116)
  • 認証済みのローカル攻撃者が、細工ファイルでroot権限の任意コマンドを実行しうる
  • ネットワーク集中管理基盤の侵害=配下の多拠点へ波及するリスク
詳しく読む
高 High CVE-2026-42271 2026/06/08

LiteLLM(LLMプロキシ)にコマンドインジェクション(CVE-2026-42271)— 低権限ユーザでもホスト上で任意コマンド実行

多数のLLMプロバイダを束ねるオープンソースのLLMプロキシ「BerriAI LiteLLM」に、コマンドインジェクションの脆弱性。低権限の内部ユーザ鍵を持つ者を含め、認証済みの任意のユーザがホスト上で任意のコマンドを実行できる。CISAは悪用確認済み(KEV)として掲載(CVSS 8.8 High)。

  • BerriAI LiteLLM(人気のOSS LLMプロキシ)のコマンドインジェクション(CWE-78/CWE-77)
  • 低権限の内部ユーザ鍵を含め、認証済みの任意ユーザがホスト上で任意コマンド実行
  • ホスト乗っ取り→管理下のAPIキー/トークン窃取・更なる侵入につながりうる
詳しく読む
緊急 Critical CVE-2026-50751 2026/06/08

Check Point セキュリティゲートウェイに認証バイパス(CVE-2026-50751)— パスワード無しでVPN接続、CVSS 9.3

Check Point のセキュリティゲートウェイ製品に、IKEv1鍵交換における認証バイパスの脆弱性。認証されていない遠隔の攻撃者が、有効なパスワード無しにユーザ認証を回避し、リモートアクセスVPN接続を確立できる。CISAは悪用確認済み(KEV)として掲載(CVSS 9.3 Critical)。

  • Check Point セキュリティゲートウェイのIKEv1認証バイパス(CWE-287)
  • 認証なしの遠隔攻撃者が、有効なパスワード無しでリモートアクセスVPN接続を確立
  • 境界のVPN/FW機器の侵害=社内侵入の足がかり。CVSS 9.3(Critical)
詳しく読む
高 High CVE-2026-28318 2026/06/05

SolarWinds Serv-Uにサービス停止の脆弱性(CVE-2026-28318)— 認証なしでファイル転送を停止

ファイル転送サーバSolarWinds Serv-Uに、リソース枯渇(DoS)の脆弱性。認証なしで、deflate圧縮ヘッダを使った細工POSTリクエストによりServ-Uサービスをクラッシュさせうる。CISAは悪用確認済み(KEV)として掲載(NVD公式CVSS 7.5 High)。

  • SolarWinds Serv-U(ファイル転送サーバ)の制御されないリソース消費(CWE-400)
  • 認証なしで、deflate圧縮ヘッダの細工POSTによりサービスをクラッシュ(DoS)させうる
  • 影響は可用性のみ(情報窃取ではない)が、基幹のファイル授受を止められる
詳しく読む
緊急 Critical ランサム悪用 CVE-2026-41940 2026/04/30

cPanel & WHMに認証欠如の脆弱性(CVE-2026-41940)— 認証なしで管理パネル乗っ取り、ランサムでの悪用も確認

広く使われるホスティング管理パネル「cPanel & WHM」とWP2に、ログイン処理での認証欠如の脆弱性。認証されていない遠隔の攻撃者が管理パネルに不正アクセスできる。CISAは悪用確認済み(KEV)・ランサムウェアでの悪用ありとして掲載(CVSS 9.8 Critical)。

  • cPanel & WHM/WP2 のログイン処理における認証欠如(CWE-306)
  • 認証なしの遠隔攻撃者が管理パネルに不正アクセス
  • cPanel/WHMはホスティングで最も広く使われる管理パネル=1台の侵害で多数サイトに波及
詳しく読む
高 High ランサム悪用 CVE-2024-1708 2026/04/28

ConnectWise ScreenConnectにパストラバーサル(CVE-2024-1708)— 遠隔コード実行、ランサムでの悪用も確認

遠隔管理(RMM)・リモートサポートツール「ConnectWise ScreenConnect」にパストラバーサルの脆弱性。攻撃者が遠隔コード実行を行ったり、機密データや重要システムに直接影響を与えたりしうる。CISAは悪用確認済み(KEV)・ランサムウェアでの悪用ありとして掲載(CVSS 8.4 High)。

  • ConnectWise ScreenConnect(多数端末を遠隔管理するRMMツール)のパストラバーサル(CWE-22)
  • 遠隔コード実行(RCE)や、機密データ・重要システムへの直接影響につながりうる
  • RMMの侵害=管理下の多数端末へマルウェアを一斉配布しうる「梃子」
詳しく読む
高 High CVE-2022-0492 2026/06/02

Linuxカーネルのcgroups脆弱性(CVE-2022-0492)— 権限昇格・コンテナ脱出に悪用されうる

Linuxカーネルのcgroups v1「release_agent」機能に不適切な認証の脆弱性があり、権限昇格につながる。設定次第ではコンテナからの脱出に悪用されうる。2022年公表だが、CISAが2026年に悪用確認済み(KEV)として掲載(CVSS 7.8 High)。

  • cgroups v1の「release_agent」機能の権限チェック不備(CWE-287/CWE-862)
  • ローカル権限昇格。設定が甘いとコンテナからホストへの脱出に悪用されうる
  • 2022年公表だが2026年にKEV入り=古い既知脆弱性が今も悪用されている
詳しく読む
高 High CVE-2025-48595 2026/06/02

Android Frameworkに整数オーバーフローの脆弱性(CVE-2025-48595)— ローカル権限昇格

Androidの基盤コンポーネント「Framework」に整数オーバーフローの脆弱性があり、コード実行を通じてローカルでの権限昇格につながる。Android 2026年6月のセキュリティ情報で修正。CISAは悪用確認済み(KEV)として掲載(CVSS 8.4 High)。

  • Android Framework(OSの基盤層)の整数オーバーフロー(CWE-190)
  • コード実行を通じてローカル権限昇格につながる
  • Android 2026年6月セキュリティ情報で修正。CISA KEV掲載(CVSS 8.4 High)
詳しく読む
高 High CVE-2024-21182 2026/06/01

Oracle WebLogic Serverの脆弱性(CVE-2024-21182)— 認証不要でデータ侵害のおそれ

Oracle WebLogic Serverに、T3/IIOPプロトコル経由でネットワークアクセスできる認証不要の攻撃者が、サーバを侵害しうる脆弱性。重要データへの不正アクセスや全データへのアクセスにつながる。CISAは悪用確認済み(KEV)として掲載(CVSS 7.5 High)。

  • WebLogic ServerにT3/IIOP経由・認証不要で侵害されうる脆弱性
  • 成功すると重要データ(場合により全データ)への不正アクセスにつながる
  • Oracle 2024年7月Critical Patch Updateで修正。CISA KEV掲載(CVSS 7.5 High)
詳しく読む
高 High CVE-2025-34291 2026/05/21

Langflow(AIアプリ構築ツール)に重大な脆弱性(CVE-2025-34291)— 不正なCORSとトークンでコード実行のおそれ

LLM/AIワークフローを視覚的に構築できる人気ツール「Langflow」に、オリジン検証の不備(過度に緩いCORS設定+SameSite=NoneのリフレッシュトークンCookie)があり、悪意あるWebページが認証情報付きのクロスオリジン要求を成立させてトークンを奪い、最終的にコード実行・システム全体の侵害につながりうる。CISAは悪用確認済み(KEV)として掲載(CVSS 8.8 High)。

  • Langflow(LLM/AIワークフローをGUI構築する人気OSSツール)のオリジン検証不備(CWE-346)
  • 緩いCORS+SameSite=NoneのリフレッシュトークンCookieで、悪意あるページがトークンを窃取
  • トークン経由で認証済みエンドポイントにアクセス→任意コード実行・システム全体の侵害
詳しく読む
中 Medium CVE-2026-34926 2026/05/21

Trend Micro Apex Oneにディレクトリトラバーサル(CVE-2026-34926)— エージェントへ悪意コードを配布のおそれ

エンドポイント保護製品「Trend Micro Apex One(オンプレミス)」にディレクトリトラバーサルの脆弱性。事前認証済みのローカル攻撃者がサーバ上の鍵テーブルを改ざんし、配下のエージェントへ悪意あるコードを配布しうる。CISAは悪用確認済み(KEV)として掲載(CVSS 6.7 Medium)。

  • Trend Micro Apex One(オンプレEPP)のディレクトリトラバーサル(CWE-23)
  • 事前認証済みのローカル攻撃者が鍵テーブルを改ざん→配下エージェントへ悪意コード配布のおそれ
  • CVSSは6.7(Medium・ローカル/高条件)だが、管理サーバ→多数端末への波及で影響大
詳しく読む
緊急 Critical CVE-2026-0257 2026/05/29

Palo Alto PAN-OSに認証バイパスの脆弱性(CVE-2026-0257)— 不正なVPN接続を許す

Palo Alto NetworksのファイアウォールOS「PAN-OS」に認証バイパスの脆弱性。攻撃者がセキュリティ制限を回避し、認可されていないVPN接続を確立できる。CISAは悪用確認済み(KEV)として掲載(CVSS 9.1 Critical)。

  • PAN-OS(Palo Altoファイアウォール製品のOS)の認証バイパス脆弱性
  • 攻撃者がセキュリティ制限を回避し、認可されていないVPN接続を確立できる
  • 境界防御機器の侵害=社内侵入の足がかり。CISA KEV掲載(CVSS 9.1 Critical)
詳しく読む
緊急 Critical CVE-2026-48172 2026/05/26

LiteSpeed cPanelプラグインに権限昇格(CVE-2026-48172)— 一般cPanel利用者がroot権限を取得

WebサーバLiteSpeed用のcPanelプラグインに権限昇格の脆弱性。任意のcPanel利用者アカウントが、root権限で任意スクリプトを実行しうる。CISAは悪用確認済み(KEV)として掲載(NVD公式CVSS 9.8 Critical)。

  • LiteSpeed cPanel Plugin(LiteSpeed×cPanel連携プラグイン)の権限昇格(CWE-266)
  • 任意のcPanel利用者アカウントが、root権限で任意スクリプトを実行しうる
  • 共有ホスティングでは一利用者の侵害がサーバ全体の侵害に直結
詳しく読む
緊急 Critical CVE-2026-9082 2026/05/22

Drupal CoreにSQLインジェクション(CVE-2026-9082)— 権限昇格と遠隔コード実行のおそれ

広く使われるオープンソースCMS「Drupal」のコアに、データベース抽象化APIを介したSQLインジェクションの脆弱性。細工した要求で権限昇格や遠隔コード実行(RCE)につながりうる。CISAは悪用確認済み(KEV)として掲載(CVSS 9.8 Critical)。

  • Drupal Core(広く使われるOSS CMS)のデータベース抽象化API経由のSQLインジェクション(CWE-89)
  • 権限昇格や遠隔コード実行(RCE)につながりうる
  • CMSコア機能の脆弱性=導入数が多く影響範囲が広い
詳しく読む
高 High CVE-2026-42897 2026/05/15

Microsoft Exchange ServerにXSS(CVE-2026-42897)— OWAで任意のJavaScript実行

メールサーバ「Microsoft Exchange Server」に、クロスサイトスクリプティング(XSS)の脆弱性。Outlook Web Access(OWA)のWebページ生成時に、一定の条件下でブラウザのコンテキストで任意のJavaScriptが実行されうる。CISAは悪用確認済み(KEV)として掲載(CVSS 8.1 High)。

  • Microsoft Exchange ServerのOutlook Web Access(OWA)におけるXSS(CWE-79)
  • 一定条件下でブラウザのコンテキストで任意のJavaScriptが実行されうる
  • セッション乗っ取り・メール窃取・なりすましにつながりうる
詳しく読む
緊急 Critical CVE-2026-20182 2026/05/14

Cisco Catalyst SD-WANに認証バイパス(CVE-2026-20182)— 認証なしで管理者権限、CVSSは満点の10.0

CiscoのSD-WAN製品「Catalyst SD-WAN Controller / Manager」に認証バイパスの脆弱性。認証されていない遠隔の攻撃者が認証を回避して管理者権限を奪える。CVSSは満点の10.0(Critical)。CISAは悪用確認済み(KEV)として掲載し、緊急指令(Emergency Directive 26-03)も発出している。

  • Cisco Catalyst SD-WAN Controller/Manager の認証バイパス(CWE-287)
  • 認証なしの遠隔攻撃者が管理者権限を取得=ネットワーク制御の中枢を掌握
  • CVSSは満点の10.0(Critical)。CISA KEV掲載=実際の悪用を確認
詳しく読む
緊急 Critical CVE-2026-42208 2026/05/08

LiteLLM(LLMプロキシ)にSQLインジェクション(CVE-2026-42208)— プロキシのDBと管理する認証情報が危険に

多数のLLMプロバイダを束ねるオープンソースのLLMプロキシ/ゲートウェイ「BerriAI LiteLLM」にSQLインジェクションの脆弱性。攻撃者がプロキシのデータベースを読み取り・改変でき、プロキシ自体と、そこが管理する認証情報(APIキー等)への不正アクセスにつながる。CISAは悪用確認済み(KEV)として掲載(CVSS 9.8 Critical)。

  • BerriAI LiteLLM(人気のOSS LLMプロキシ/ゲートウェイ)のSQLインジェクション(CWE-89)
  • 攻撃者がプロキシのDBを読み取り・改変でき、プロキシと管理下の認証情報へ不正アクセス
  • LLMプロキシは多数のAPIキー・トークンを一元管理=「鍵束」が一度に危険に
詳しく読む
高 High CVE-2026-6973 2026/05/07

Ivanti EPMMに入力検証の脆弱性(CVE-2026-6973)— 認証済み管理者による遠隔コード実行

モバイル端末管理製品「Ivanti Endpoint Manager Mobile (EPMM)」に入力検証不備の脆弱性。管理者権限を持つ遠隔の認証済みユーザーが遠隔コード実行(RCE)を達成できる。CISAは悪用確認済み(KEV)として掲載(CVSS 7.2 High)。

  • Ivanti EPMM(モバイル端末管理/旧MobileIron)の不適切な入力検証(CWE-20)
  • 管理者権限を持つ遠隔の認証済みユーザーが遠隔コード実行(RCE)を達成しうる
  • 認証・管理者権限が前提のためCVSSは7.2(High)だが、管理基盤ゆえ影響は大きい
詳しく読む
緊急 Critical CVE-2026-0300 2026/05/06

Palo Alto PAN-OS に境界外書き込みの脆弱性(CVE-2026-0300)— 認証なしでファイアウォール上のroot権限コード実行

Palo Alto Networks のファイアウォールOS「PAN-OS」のUser-ID認証ポータル(Captive Portal)に境界外書き込み(out-of-bounds write)の脆弱性。遠隔・認証なしの攻撃者が、細工したパケットでPA/VMシリーズのファイアウォール上にroot権限で任意コードを実行しうる。CISAは悪用確認済み(KEV)として掲載(NVD公式CVSS 9.8 Critical)。

  • PAN-OS のUser-ID認証ポータル(Captive Portal)に境界外書き込み(out-of-bounds write)
  • 遠隔・認証なしの攻撃者が、細工パケットでPA/VMシリーズ上にroot権限でコード実行しうる
  • CISA KEV掲載=悪用確認。NVD公式CVSSは最高値に近い 9.8 Critical
詳しく読む
高 High CVE-2026-31431 2026/05/01

Linux カーネルに権限昇格の脆弱性(CVE-2026-31431)— ローカルの攻撃者がより高い権限を奪取

Linux OSの中核「Linux カーネル」に、領域間での不適切なリソース移送(CWE-669)の脆弱性。すでに端末に入り込んだローカルの攻撃者が、権限昇格(より高い権限の奪取)を達成しうる。CISAは悪用確認済み(KEV)として掲載(NVD公式CVSS 7.8 High)。

  • Linux カーネルの領域間の不適切なリソース移送(CWE-669)による権限昇格
  • ネットワーク単体ではなく、ローカル(既に実行権限がある状態)からの昇格
  • CISA KEV掲載=悪用確認。NVD公式CVSSは 7.8 High
詳しく読む
新着KEV(悪用確認済み)

悪用が確認された新着脆弱性

CISAが「実際に悪用された」と確認した脆弱性。原文フィードの新着順です。

本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。

高深刻度CVE(NVD)

NVDの高深刻度CVE

米国NVDが公表した高深刻度(CVSS 高〜緊急)の新着CVE。

This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。

免責: 本サイトは各公式データソースをもとに独自に要約・分類したものです。最新・正確な情報は必ず公式ソースをご確認ください。金融・医療・法務・セキュリティに関する内容は情報整理であり、助言ではありません。本サイトは米国政府の公式サイトではありません。